El consentimiento tácito y su carácter equivoco: una breve reflexión de su alcance en la Ley Federal de Protección de Datos Personales en Posesión de los Particulares

Julio Huerta Anguiano*

I. Introducción

En una aportación anterior, señalamos siguiendo la línea esbozada en la Unión Europea por el Grupo de Trabajo del Artículo 29, que si bien el principio del consentimiento ocupa un lugar central en la interpretación y aplicación del derecho a la protección de datos personales, a partir de un uso inadecuado del mismo por parte de los responsables del tratamiento[1], podría desvirtuarse su principal propósito: asegurar que el titular de los datos mantenga un control efectivo sobre el uso de su información personal.

Asimismo, apuntamos trasladando los argumentos correspondientes al caso de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares de México[2], que no es conveniente afirmar de manera concluyente que el consentimiento constituya la regla general que legitima cualquier recopilación, uso y divulgación de datos personales (tratamiento), sino una base jurídica específica que, de manera conjunta con otras (denominadas “excepciones” en este ordenamiento), puede servir como fundamento del mismo. No obstante, es claro que la función principal del consentimiento, cuando éste constituye la base jurídica del tratamiento, es garantizar el derecho a la autodeterminación informativa de las personas físicas, titulares de los datos personales.

En esta ocasión nos proponemos reflexionar en torno al consentimiento tácito, una modalidad del consentimiento poco explorada por la doctrina mexicana de protección de datos personales. Para lograr este objetivo, dejaremos de lado los supuestos en los cuales el tratamiento de los datos parte de bases jurídicas distintas, para concentrarnos únicamente en los supuestos en los que la “manifestación de la voluntad” de los titulares es la base principal del tratamiento. Sobra mencionar que el principio del consentimiento implica problemas complejos de carácter teórico en cuanto a su diseño normativo, así como dificultades de índole práctico respecto a su obtención y demostración, sobre las cuales es necesario reflexionar para generar opciones razonables que permitan a los titulares expresar de forma sólida, vinculante e informada su voluntad, dirigida a autorizar un determinado tratamiento de datos personales.

A continuación, exponemos la tesis consistente en que el consentimiento tácito, exigible por regla general para efectuar cualquier tratamiento de datos personales, según lo dispone el artículo 13 del Reglamento de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares, es un consentimiento débil si se le compara con el consentimiento expreso; paralelamente, defendemos la tesis de que el consentimiento tácito es un consentimiento equivoco en un alto grado, y aunque su obtención es práctica para los responsables, no siempre es adecuada si se busca obtener certeza acerca de la voluntad de los titulares, respecto al uso de su información personal.

II. El problema del consentimiento tácito respecto a su obtención

En primer término, es importante tener en cuenta que el consentimiento es definido en la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (en lo sucesivo, Ley Federal) como la “manifestación de la voluntad del titular de los datos mediante la cual se efectúa el tratamiento de los mismos” (artículo 3, fracción IV). De esta manera, en la Ley Federal y en su Reglamento se encuentran previstos dos tipos de consentimiento: el expreso y el tácito[3]. Cada modalidad del consentimiento posee características propias en cuanto a su obtención y demostración.

De acuerdo con lo dispuesto por el artículo 8, tercer párrafo de la Ley Federal, el consentimiento tácito se obtiene cuando el responsable del tratamiento pone a disposición del titular el aviso de privacidad y éste no manifiesta su oposición[4]. Recordemos que el aviso de privacidad es el documento físico, electrónico o en cualquier otro formato que es generado por el responsable, y que es puesto a disposición del titular para comunicar a los titulares las condiciones y generalidades del tratamiento al que serán sometidos los datos personales. Con la puesta a disposición del aviso de privacidad, los responsables cumplen con el principio de información al que hacen referencia fundamentalmente los artículos 15, 16, 17 y 18 de la Ley Federal, y 23 al 35 de su Reglamento.

Para entrar directo al tema, compartimos la opinión acerca de que el principal problema del consentimiento tácito es que éste se obtiene a partir de una inacción o una inactividad por parte del titular. En este sentido, a diferencia del consentimiento expreso, que de conformidad con el artículo 8 de la Ley Federal se manifiesta verbalmente, por escrito, por medios electrónicos, ópticos, por cualquier otra tecnología, o por signos inequívocos[5], en el consentimiento tácito está ausente una acción definida a partir de la cual podría deducirse o inferirse una intencionalidad determinada y específica de los titulares.

En este sentido, si bien la definición del “consentimiento” admitiría inicialmente cualquier manifestación de la voluntad que esté destinada a efectuar (autorizar) un tratamiento de datos, podríamos preguntarnos cuáles serían las manifestaciones más adecuadas para que las personas puedan expresar su voluntad de forma inequívoca (más adelante volveremos sobre este término). Esto nos conduce necesariamente a cuestionarnos sobre qué tipo de comportamiento sería más idóneo para expresar la voluntad, si el comportamiento activo (basado en acciones) o el comportamiento pasivo (a partir de la falta de actuación de las personas). Ciertamente, hay razones de peso que nos conducen a afirmar que se trata del comportamiento basado en acciones concretas y específicas las que permiten apreciar y constatar de una manera más clara la voluntad de los titulares.

En relación con el comportamiento pasivo como una posible manifestación del consentimiento, conviene traer a cuenta lo dispuesto por el Grupo de Trabajo del Artículo 29, en el Dictamen 15/2011 sobre la definición del consentimiento, que a la letra señala:

“[…]

Es dudoso que la falta de actuación – o quizás mejor, el comportamiento pasivo – también pueda interpretarse como una manifestación de voluntad en circunstancias muy concretas (es decir, en un contexto totalmente inequívoco). El concepto de «manifestación» es amplio, pero parece implicar una necesidad de acción. Otros elementos de la definición de consentimiento, y el requisito adicional del artículo 7, letra a), sobre el consentimiento inequívoco, avalan esta interpretación. El requisito de que el interesado debe manifestar su consentimiento parece indicar que la simple inacción es insuficiente y se requiere algún tipo de acción para crear el consentimiento, aunque sean posibles diferentes tipos de acciones que se evaluarán «según el contexto».

En la práctica, la falta de comportamiento activo del interesado planteará un problema al responsable del tratamiento a la hora de comprobar si el silencio significa aceptación o consentimiento.

[…]”[6]

En la cita anterior se encuentra implícita la idea de que la obtención del consentimiento tácito no es idónea para producir certeza suficiente en los responsables del tratamiento respecto a la voluntad de los titulares. Por el contrario, se afirma que las expresiones de la voluntad que parten de acciones explícitas y manifiestas tienden a producir mayor certidumbre que aquellas que tienen como base un comportamiento pasivo. Este presupuesto ha sido incorporado por el Reglamento general de protección de datos[7], para constituirse como el nuevo paradigma del consentimiento en el marco comunitario europeo. Sobre este aspecto, conviene citar lo dispuesto por el artículo 4, numeral 11 de dicho ordenamiento, que establece:

Artículo 4. Definiciones

A efectos del presente Reglamento se entenderá por:

[…]

11) «consentimiento del interesado»: toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen;

[…]

Según se advierte, el Reglamento general de protección de datos requiere que el consentimiento del interesado o titular adopte la forma de una “declaración o una clara acción afirmativa”, desplazando la posibilidad de que el consentimiento se infiera a partir de inacciones u omisiones de los titulares, propias del consentimiento tácito. Este ajuste es muy relevante, pues obliga a los responsables del tratamiento a obtener de los titulares un consentimiento derivado explícitamente o implícitamente a partir del comportamiento activo de una persona, sea bajo la forma de acciones o declaraciones afirmativas.

En México, el Reglamento de la Ley Federal dispone en su artículo 13 que, salvo que la Ley exija el consentimiento expreso del titular, será válido el consentimiento tácito como regla general. Esto quiere decir que en los casos no previstos en el artículo 15 del Reglamento, respecto a cuándo obtener el consentimiento expreso (por mandato de ley o reglamento; cuando se trate de datos personales sensibles, financieros o patrimoniales; cuando lo solicite el responsable para acreditar el consentimiento, o cuando así lo acuerden el responsable y el titular), siempre podrá requerirse el consentimiento tácito. En este sentido, es posible destacar que la regla del consentimiento tácito establecida en la Ley Federal resultaría obsoleta a la luz de las reformas al marco comunitario europeo de protección de datos. La variación en la regulación obedece en gran parte a las debilidades inherentes al consentimiento tácito, debido a su carácter presumiblemente equívoco, como a continuación exponemos.

III. Sobre el término “inequívoco” y el consentimiento tácito  

Como punto de partida, es pertinente citar la opinión expresada por el Grupo de Trabajo del Artículo 29, que a la letra señala:

“Para que el consentimiento se otorgue de forma inequívoca, el procedimiento de su obtención y otorgamiento no tiene que dejar ninguna duda sobre la intención del interesado al dar su consentimiento. En otras palabras, la manifestación mediante la cual el interesado consiente no debe dejar lugar a ningún equívoco sobre su intención. Si existe una duda razonable sobre la intención de la persona se producirá una situación equívoca.”[8]

En la cita anteriormente transcrita se advierte el hecho de que el término “inequívoco” (en una de sus posibles acepciones) comunica la idea de una situación que no admite duda o equivocación. En consecuencia, un “consentimiento inequívoco” sería aquel en el que no existe ninguna duda respecto de la intención de la persona para autorizar un tratamiento de datos personales.

En México, el carácter inequívoco ha sido reservado por la Ley Federal y su Reglamento para el consentimiento expreso, en el cual, según lo dispone el artículo 12 del Reglamento, deben existir elementos que de manera indubitable demuestren su otorgamiento. Y esta parece ser precisamente la función del consentimiento expreso: generar una mayor certeza en los responsables del tratamiento acerca del sentido de la voluntad del titular, así como facilitar su demostración (prueba). Podría decirse que a mayor certeza respecto de la voluntad de los titulares, mayor legitimación del tratamiento. De esta manera, el consentimiento expreso no sólo haría explícito el deseo del titular, sino que aspiraría a generar en el responsable del tratamiento una certidumbre alta respecto a la intencionalidad de la persona, y en última instancia, respecto de su voluntad dirigida a autorizar un determinado tratamiento de datos.

Habrá quienes argumenten que un comportamiento pasivo, específicamente, el no manifestar la oposición a un tratamiento determinado (como lo establece la regla del consentimiento tácito en la Ley Federal y su Reglamento), sería suficiente para inferir la voluntad del titular. Sin embargo, esta regla podría resultar engañosa en la medida que el comportamiento pasivo podría significar diversas cosas, tales como aceptación y no aceptación, conformidad y no conformidad, en otras palabras, consentimiento y no consentimiento. Hasta en tanto no haya una expresión manifiesta no podría tenerse una certeza razonable respecto de los deseos del titular.

Lo anterior podría clarificarse planteando un ejemplo de la vida cotidiana. Imaginemos que una persona “x” pregunta a una persona “y” si desea tomar agua simple o vino tinto. La persona “y” guarda silencio y no manifiesta una acción o palabra alguna ante el cuestionamiento de “x”. Ante el silencio, “x” infiere que “y” estará complacido tomando vino tinto porque es lo que él preferiría tomar en una circunstancia como ésta. Sin embargo, el hecho de que “x” concluya que “y” desea tomar vino tinto en vez de un vaso de agua podría ser no sólo una inferencia apresurada, sino probablemente infundada (una inferencia equivoca). En este caso, el silencio de “y” bien podría significar “preferiría un vaso de agua de jamaica o un té de tila” o un “no quiero agua ni vino tino, sino irme a mi casa”. Algo similar ocurre con el consentimiento tácito, el cual puede generar dudas respecto a los deseos efectivos del titular.

En virtud de las consideraciones precedentes, consideramos que es posible concebir al consentimiento expreso como un consentimiento “fuerte” y al tácito como un consentimiento “débil”, por ser equivoco en alto grado. Adicionalmente, si se considera el número exponencial de tratamientos que se realizan por parte de los responsables de carácter privado, el requerimiento del consentimiento tácito como regla general podría abrir la posibilidad a que exista una fabricación del consentimiento o una obtención tendenciosa del mismo, en el cual el consentimiento de los titulares obtenido tácitamente no refleja en todo o en parte, la voluntad de los titulares.

Así, aunque para efectos de la Ley Federal y otros ordenamientos de protección de datos personales que incorporen este criterio, se tenga por obtenido el consentimiento tácito (ante la falta de oposición del titular), en la realidad podría tratarse de un falso consentimiento, en la medida que no existiría una correspondencia entre lo que el titular desea efectivamente y el resultado esperado, lo cual técnicamente convertiría a un tratamiento de datos en un tratamiento ilegitimo e ilícito (contrario a la norma y sancionable), salvo que otro sea el fundamento jurídico adicional que le dé sustento. En cualquier caso, la pertinencia en la decisión de requerir el consentimiento expreso o tácito debería determinarse a partir de la certidumbre que dichas acciones o inacciones generen en el responsable del tratamiento respecto a la voluntad de los titulares. Con un alto grado de probabilidad, podría afirmarse que sería el consentimiento expreso obtenido a partir de acciones o declaraciones afirmativas, el que produciría una mayor certeza, sin dejar de lado que la obtención de este tipo de consentimiento podría ser demostrado de una manera más práctica y razonable, pues es más sencillo probar acciones (que el consentimiento fue otorgado activamente) que omisiones (falta de oposición al tratamiento).

Por otra parte, no hay que olvidar que para algunos responsables del tratamiento (piénsese por ejemplo en empresas multinacionales y grandes corporativos), la obtención de la información personal de los titulares representa una mina de oro. Un recurso muy valioso que les permitiría generar estrategias de mercado para la venta de bienes y la oferta de servicios, por ejemplo, a través de la creación de perfiles de compradores potenciales, el envío de publicidad personalizada, la realización de llamadas telefónicas o el envío de correos electrónicos masivos, entre otros. La falta de oposición al tratamiento (el comportamiento pasivo o la falta de acción) podría resultar muy provechosa y oportuna para algunos responsables, quienes probablemente estarán muy interesados en influenciar las decisiones de las personas respecto a la entrega de su información, para posteriormente obtener beneficios y generar ganancias de diversos tipos. La llave que abriría la puerta podría ser convenientemente el consentimiento tácito debido a su flexibilidad. Mucho cuidado habría que poner a esta cuestión, con el objetivo de evitar que se susciten posibles abusos en el uso de la información de los titulares, un uso que podría partir de una base frágil, como es el caso del consentimiento tácito.

Por tanto, no cabe duda de que los responsables tienen una tarea muy relevante al obtener el consentimiento de los titulares para efectuar un tratamiento de datos personales. Claramente, la Ley Federal y su Reglamento establecen los supuestos en los que el consentimiento expreso es exigible; sin embargo, en los casos no cubiertos por estas disposiciones, los responsables deberán ponderar si el consentimiento tácito es la mejor opción para otorgar a los titulares la posibilidad de expresar su voluntad de manera clara y concisa (de forma inequívoca), sin dejar lugar a dudas sobre la intencionalidad del titular de otorgar su consentimiento. La cuestión final que podríamos formular en este aspecto es, si la influencia del derecho europeo en México podría llevar a replantear el diseño de la figura del consentimiento en la Ley Federal y su Reglamento (y en general en los ordenamientos que reconocen la modalidad del consentimiento tácito); o bien, conducir a los responsables a estandarizar como buena práctica los mecanismos que permitan a los titulares otorgar su voluntad de manera expresa, libre, especifica, informada e inequívoca. Lo anterior teniendo en cuenta que, en el marco comunitario europeo, la manifestación de la voluntad a través de declaraciones o acciones claras afirmativas constituye el nuevo paradigma. Este tema sin duda permanece sobre la mesa, con la esperanza de ser revisado cuidadosamente en el futuro a partir de argumentos a favor y en contra. El objetivo último, sin duda fortalecer el derecho a la autodeterminación informativa de las personas físicas en nuestro país.

* Maestro en derecho por la Universidad Nacional Autónoma de México. Actualmente, cursa una maestría en derecho norteamericano con enfoque en Technology Law en University of Notre Dame, Estados Unidos. Ex servidor público del Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI).

[1] De acuerdo con una concepción estándar del término, un responsable del tratamiento es aquella personas física o jurídica, de carácter público o privado, que decide sobre la finalidad y medios de un tratamiento de datos personales. La Ley Federal de Protección de Datos Personales en Posesión de los Particulares define en el artículo 3, fracción XIV, la figura del “responsable” (del tratamiento) como la “persona física o moral de carácter privado que decide sobre el tratamiento de datos personales”.

[2] Disponible en el vínculo electrónico: http://dof.gob.mx/nota_detalle.php?codigo=5150631&fecha=05/07/2010

[3] Hay quienes defienden la postura de que la Ley Federal prevé tres tipos de consentimiento, y consideran al consentimiento expreso y por escrito como un tipo independiente y distinto de las modalidades del consentimiento expreso y tácito. Desde nuestra perspectiva, esta apreciación es inadecuada en la medida que el consentimiento expreso y por escrito vendría a ser una especie o sub modalidad del consentimiento expreso, diseñada específicamente para habilitar el tratamiento de datos personales sensibles o especialmente protegidos, entre otros.

[4] Consideramos importante llamar la atención sobre el hecho de que ni la Ley Federal ni su Reglamento son claros respecto a qué es aquello a lo que pueden oponerse los titulares, tratándose del consentimiento tácito. ¿La manifestación de la oposición es respecto a la puesta a disposición del aviso de privacidad en sí mismo?, ¿se refiere a la oposición a algún elemento específico del aviso de privacidad, por ejemplo, a las finalidades del tratamiento (finalidades primarias o secundarias) o las transferencias de datos que se efectúen?, o bien, ¿se trata de la falta de oposición a todos y cada uno de los elementos que conforman el aviso de privacidad? Esta cuestión no es menor, pero su análisis requiere de un espacio particular. Para efectos de esta aportación me referiré a la oposición a las finalidades del tratamiento, y en general a las condiciones del mismo establecidas en el aviso de privacidad.

[5] El consentimiento expreso es requerido para el tratamiento de datos personales financieros o patrimoniales salvo que el consentimiento no sea exigible conforme a las excepciones previstas en los artículos 10 y 37 de la Ley Federal.  Tratándose de datos personales sensibles, el artículo 9 de la Ley Federal establece debe obtenerse el consentimiento expreso en su modalidad escrita. Respecto al consentimiento expreso en su modalidad escrita, el artículo 19 del Reglamento señala que es aquél en el que la voluntad se otorga mediante un documento que contiene la firma autógrafa o la huella dactilar del titular. En relación con el tratamiento de datos personales en el entorno digital, el consentimiento expreso en modalidad escrita se obtiene a través de la firma electrónica avanzada o equivalente, así como a través de cualquier mecanismo o procedimiento que se establezca en la normatividad aplicable, siempre y cuando permita la identificación del titular de manera inequívoca.

[6] Dictamen 15/2011 sobre la definición del consentimiento, adoptado el 13 de julio de 2011, p. 14. Disponible en el vínculo electrónico: http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2011/wp187_es.pdf

[7] Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE. Disponible en el vínculo electrónico: http://eur-lex.europa.eu/legal-content/ES/TXT/?uri=CELEX%3A32016R0679

[8] Ibídem, nota 6, p. 23.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *